É inegável que o tema Conscientização é o elo mais subjetivo ao mesmo tempo em que se mostra o mais eficaz no que determina o sucesso ou fracasso de um programa de Segurança da Informação.

Resultado de imagem para como conscientizar

Tecnologia, processos, pessoas qualificadas e todo o aparato da área se mostram inúteis quando o público alvo da organização não se sensibiliza quanto às medidas que devem ser tomadas neste quesito.

Mas como sensibilizar as pessoas sobre Segurança da Informação?

Esta é uma pergunta que detém inúmeras respostas mas que se inicia pelo objetivo que a corporação deseja atingir, seja ele implementar, de fato, uma cultura baseada em segurança das informações, seja obter uma certificação, como ISO 27001 ou qualquer outra que venha da concepção estratégica proveniente da Alta Direção.

Uma vez definido o objetivo estratégico, o primeiro público que deve ser atingido é o da Alta Direção pois, como em qualquer outra medida de todas as áreas de apoio, sem o suporte do corpo diretivo, certamente as idéias naufragam.

De forma simplista, mas baseada em experiência com grandes e complexos grupos heterogêneos, vejo que uma das diversas formas de implementarmos um programa de cosncientização em Segurança da Informação deva seguir as seguintes premissas:

  • Determinação da estratégia (objetivo, identidade e resultados desejados);
  • Identifcação dos grupos diversos que serão abordados (público-alvo);
  • Definição de processos, fluxos e métricas que possibilitem a implementação e medição da eficácia;
  • Implementação de medidas gerais e específicas (atingindo a todos da organização e também de forma isolada grupos específicos, adequando as ações);
  • Ataque a questões práticas (comportamento humano, predominantemente) ao invés de ações meramente institucionais;
  • Abordagem contínua e positiva, incentivando o tempo todo as boas ações, e não dar foco exclusivo a restrições e sanções contra desvios;
  • Revisão contínua da direção e do foco que está sendo dado, buscando refletir exclusivamente o que a organização e seu público demandam, fugindo de modismos e ações superficiais;
  • Implementação real de métodos de melhoria contínua e revisao pela Alta Direção

Na prática, também vejo que um programa deva ser operacionalizado buscando cumprir as seguintes premissas:

  • Criação de um plano anual de ações, com dashboard de acompanhamento de eficácia utilizando métricas;
  • Definição das campanhas (temas);
  • Determinação de escopo (local, regional, global);
  • Regularidade (contínua ou pontual);
  • Campanha em si (mensagem que se quer passar – na amplitude da palavra, e não no sentido literal de se enviar um simples email corporativo);
  • Registro no sistema de gestão de Segurança da Informação;
  • Público-alvo (Alta Direção, lideranças, áreas corporativas, operação, projetos, público geral);
  • Status das campanhas;
  • Prazo de execução;
  • Métricas de acompanhamento;
  • Mídias ou modos de disseminação;
  • Fontes (evidência do que foi feito);
  • Lições aprendidas;
  • Reporte à Alta Direção

As ações podem ser divididas em blocos, tais como:

  • Ações mensais;
  • Ações eventuais;
  • Fóruns de discussão;
  • Palestras;
  • Quizzes com premiação;
  • Blogs;
  • Podcasts;
  • Vídeos;
  • Semana de Conscientização em Segurança da Informação, englobando, de forma concentrada e potencializada, todas as ações acima

A forma como impactamos as pessoas deve ser clara, simples, com linguagem natural e que reflita também seu ambiente pessoal, demonstrando como ações inadequadas causam resultados negativos.

Fonte: Blog do Rodrigo Magdalena